Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Czy można sprawdzić czy dysk był wymazywany?

lucrum.cesans 01 Kwi 2015 21:48 1260 17
  • #1 01 Kwi 2015 21:48
    lucrum.cesans
    Poziom 11  

    Witam serdecznie.

    Bardzo proszę o informację doświadczonych Forumowiczów czy możliwe jest sprawdzenie tego czy dysk był wymazywany z danych? Tj. zerowany bądź nadpisywany algorytmami DoD, Gutmanna itp.

    Ciekaw jestem czy ktoś mi tak dysk wyczyścił:)

    Z góry dzięki.

    0 17
  • Pomocny post
    #2 01 Kwi 2015 22:27
    helmud7543
    Poziom 42  

    Tak, w programie do odzyskiwania danych lub edytorze dyskowym. Pierwszym sprawdzisz, czy zachowały się nagłówki plików alfo fragmenty MFT (jeśli się zachowały, to partycje zostały usunięte, sformatowane, ktoś wywalił MBR, większość danych da się odzyskać). Jeśli nie znajdzie nic a nic, to dysk został "przejechany" czymś, a czym, to można podpatrzeć za pomocą edytora dyskowego. Wyświetli on w formie szesnastkowej zawartość poszczególnych sektorów. Mogą to być zera albo przypadkowe bajty, albo dane pochodzące z jakiegoś algorytmu.

    0
  • #3 02 Kwi 2015 07:40
    iagre
    Poziom 35  

    helmud7543 napisał:
    Tak, w programie do odzyskiwania danych lub edytorze dyskowym

    Ale to chyba nie dotyczy sytuacji gdy dysk był zerowany.

    0
  • #4 02 Kwi 2015 12:16
    helmud7543
    Poziom 42  

    Można właśnie stwierdzić że był zerowany (niekoniecznie można stwierdzić czym, to już zależy czy program daje jakiś charakterystyczny wzorzec zapisu, czyli "jakimi bajtami" zapełnia dysk). Czasem się da, czasem nie. Ja nie analizuję jakie wzorce ma dany program, także nie wiem.

    0
  • #5 02 Kwi 2015 13:53
    lucrum.cesans
    Poziom 11  

    Bardzo dziękuję za odpowiedzi. A czy jest szansa by sprawdzić kiedy dany dysk był zerowany/nadpisywany? Tzn. czy gdzieś pojawia się data z tej czynności czy trzeba posprawdzać po datach poszczególnych plików zapisanych na dysku i wydedukować po najwcześniejszej dacie zapisu.

    0
  • #6 02 Kwi 2015 14:05
    iagre
    Poziom 35  

    lucrum.cesans napisał:
    wydedukować po najwcześniejszej dacie zapisu

    Niezależnie od daty formatowania dysku instalatory OS nadają plikom takie daty w jakich te pliki były utworzone przez twórców tego OS lub daty „ręcznie” z góry ustawione przez twórców tego OS. Po za tym różnymi menadżerami (na przykład TotalCommander) można ustawić dowolną datę pliku i jest też możliwość zmiany daty w BIOSie.
    Tak więc opieranie się na datach może prowadzić do błędnych wniosków.

    0
  • #7 02 Kwi 2015 14:24
    helmud7543
    Poziom 42  

    Jeśli był nadpisany programem, który zapisuje godzinę i datą to tak. W większości przypadków (programy do bezpiecznego kasowania danych, programy diagnostyczne czy edycyjne z funkcją nadpisania) jednak program "pojedzie" od MBR do ostatniego sektora zapisując cały dysk zerami lub swoim wzorcem. W takim wypadku, jeśli nie było innego rejestru (np: zerowanie odbywało się z poziomu systemu na innym dysku, wtedy informacji co i kiedy było uruchomione można próbować szukać w systemie) to nie da się tego sprawdzić.

    0
  • #8 04 Kwi 2015 11:56
    SQLmaster
    Poziom 24  

    Code:
    dd if=/dev/zero of=/dev/sda bs=1M

    ...i dysk jak z fabryki. Zero (dosłowne) danych.

    Generalnie jak byś miał możliwości CIA to odkryjesz w głębszych warstwach dysku ślady poprzednich zapisów, ale i na to jest sposób. Kilkukrotne:
    Code:
    dd if=/dev/urandom of=/dev/sda bs=1M

    A dopiero potem wyzerować.

    Natomiast może da się odczytać np czas pracy, liczbę startów itp z zapisu SMART dysku.

    0
  • #9 04 Kwi 2015 15:28
    helmud7543
    Poziom 42  

    SQLmaster napisał:

    Generalnie jak byś miał możliwości CIA to odkryjesz w głębszych warstwach dysku ślady poprzednich zapisów, ale i na to jest sposób.

    Przy współczesnych dyskach obrazowanie domen magnetycznych jest bezskuteczne a wielokrotne nadpisywanie nie ma sensu.

    0
  • #10 09 Kwi 2015 11:22
    lucrum.cesans
    Poziom 11  

    helmud7543 napisał:
    SQLmaster napisał:

    Generalnie jak byś miał możliwości CIA to odkryjesz w głębszych warstwach dysku ślady poprzednich zapisów, ale i na to jest sposób.

    Przy współczesnych dyskach obrazowanie domen magnetycznych jest bezskuteczne a wielokrotne nadpisywanie nie ma sensu.


    Więc wystarczy jednokrotnie nadpisać dane i bez obaw sprzedać np. firmowy komputer bez obaw, że konkurencja te dane odzyska? Zakładam, że konkurencja wyłożyłaby dużo kasy na ten cel:)

    0
  • #11 09 Kwi 2015 11:38
    helmud7543
    Poziom 42  

    Tak, można, nikt nie odzyska tych danych. Dowodem niech będzie fakt, że gdy uszkodzenie dysku dotyczy strefy serwisowej i firmware, albo uszkodzenie wymaga przełożenia głowic i ich kalibracji, albo przełożenia talerzy, to już jest niezła zabawa. A mówimy o dysku na którym dane nadal są, mamy dostęp do sprawnych podzespołów a trzeba je "jedynie" ze sobą skalibrować... Tu mogą wchodzić w grę co najwyżej jakieś normy prawne (np: nie wiem czy w przypadku danych osobowych nie jest konieczne zniszczenie nośnika) i ewentualnie trzeba się do nich dostosować, żeby nie mieć kłopotów.

    Szczątki danych (z naciskiem na szczątki) danych można odzyskać metodą obrazowania domen magnetycznych z dyskietek i starych dysków, pochodzących z czasów gdzie głowice były kierowane silnikiem krokowym a pojemności były liczone w dziesiątkach MB i mniej. Przy takich nośnikach można użyć wielokrotnego przebiegu zapisu losowymi danymi.

    0
  • #12 09 Kwi 2015 13:43
    lucrum.cesans
    Poziom 11  

    Dziękuję za odpowiedź helmud7543.

    Muszę przyznać, że temat naprawdę mnie zainteresował. W sumie wiele firm wymienia komputery i lądują one potem np. na portalach aukcyjnych w korzystnych cenach...

    Zatem podsumowując, jakim algorytmem najlepiej przejechać dysk by np. taka firma jak urząd skarbowy czy klinika medyczna mogły spać spokojnie?:)

    0
  • #13 09 Kwi 2015 13:50
    SQLmaster
    Poziom 24  

    lucrum.cesans napisał:
    W sumie wiele firm wymienia komputery i lądują one potem np. na portalach aukcyjnych w korzystnych cenach...

    ... i niektóre mają wciąż na dysku poufne dane. Raz taki kupiłem z kanadyjskim systemem i planami samolotów Bombardier, ale ze mi to na nic niepotrzebne szkice to skasowałem. Ale to było ładnych parę lat temu, dziś już chyba taki numer by nie przeszedł.

    0
  • #14 09 Kwi 2015 13:50
    helmud7543
    Poziom 42  

    Fizycznie? Nadpisać czymkolwiek, byleby wszystkie sektory (narzędzie ma działać na poziomie dysku, nie partycji).

    A prawnie to tego właśnie nie wiem. Zastanawiam się, czy prawnie jest to w ogóle dopuszczalne. Trzeba by szukać pod kątem ochrony danych. Kiedyś ktoś mi powiedział, że jest konieczność fizycznego zniszczenia nośnika. Z kolei jeśli na sprzęcie nie było danych objętych tajemnicą, to w ogóle chyba nie trzeba kasować.

    UP> Bywają "nowe" komputery, w których niektórzy użytkownicy chcąc np: odzyskać swoje przypadkowo usunięte pliki, znajdują czyjąś pracę magisterską...

    Cóż, "format" to za mało ale głupota nie boli a oszustów i partaczy nie brakuje. Podejście "debila" znam doskonale z roboty. Im ktoś wyżej stoi tym ma mniej pod czapką. A wina spada na tych, co się najbardziej napracowali...

    0
  • #15 09 Kwi 2015 14:21
    iagre
    Poziom 35  

    lucrum.cesans napisał:
    Zatem podsumowując, jakim algorytmem najlepiej przejechać dysk by np. taka firma jak urząd skarbowy czy klinika medyczna mogły spać spokojnie?

    Na przykład cat /dev/urandom > /dev/hda

    0
  • #16 09 Kwi 2015 14:37
    Alana
    Poziom 37  

    Dołączę się do tematu.

    Co sądzicie o opcji "secure erase" z firmware dysku odpalonej np. z tego poradnika: https://tinyapps.org/docs/wipe_drives_hdparm.html
    I chodziłoby mi o konkretne dane tzn. coś, co mogę pokazać szefowi-laikowi jako dowód, że "dane zniszczono w sposób wystarczający".

    Druga rzecz - mamy dyski, które już się nie dają odczytać w normalny sposób i szef nalega, żeby te dyski też zabezpieczyć, np. poprzez fizyczne zniszczenie. Pytanie - co zrobić, żeby szef był zadowolony i żebym jednocześnie nie narobiła się ponad miarę?

    0
  • #17 09 Kwi 2015 15:00
    helmud7543
    Poziom 42  

    Tam jest mowa o DCO i HPA. Chodzi tutaj o usunięcie danych znajdujących się na obszarach, do których software (przy standardowym użytkowaniu) nie ma dostępu. Dobrze jest o to zadbać, ale tutaj standardowe narzędzia po prostu nie mają dostępu do tego obszaru. HPA po prostu można zdjąć i w tedy system widzi całą fabryczną pojemność dysku. Potem zerowanie i problem rozwiązany. Do tego można by pewnie jeszcze dodać listy defektów, bo na przeniesionych sektorach też są jakieś dane (a przynajmniej ich część), z kolei usunąć się ich nie da bo nie ma się dostępu do przeniesionych sektorów.

    Można dyski przewiercić, zmiażdżyć, a jak dadzą się jeszcze zapisywać, to po prostu nadpisać. Albo kupić demagnetyzer - sekunda i po dysku. Dane (razem z dyskiem z resztą) idą w niebyt razem z firmware i wszelkimi danymi kalibracyjnymi na sektorach (servo marks itp).

    0
  • #18 10 Kwi 2015 00:23
    SQLmaster
    Poziom 24  

    Alana napisał:
    Druga rzecz - mamy dyski, które już się nie dają odczytać w normalny sposób i szef nalega, żeby te dyski też zabezpieczyć, np. poprzez fizyczne zniszczenie. Pytanie - co zrobić, żeby szef był zadowolony i żebym jednocześnie nie narobiła się ponad miarę?

    Czy można sprawdzić czy dysk był wymazywany?
    lub
    Czy można sprawdzić czy dysk był wymazywany?

    0